Musím řešit GDPR?

7. 9. 2020 10:27:08

Zdravím všechny,

začal jsem původně pro vlastní potřebu provozovat extra jednoduché API na aktuální ceny akcií, API jsem uveřejnl pro libovolné použítí, nicméně něčekaný zájem mi trochu přerostl přes hlavu a chci to nějak řešit.

Rád bych zavedl nějaké registrace, extra stupidní, pouze email, heslo, kde dotyčný dostane nějaký API key a já si pak budu moci zavádět nějaké limity, apod.

Musím řešit GDPR když půjde prakticky jen o email + nějaké logování požadavků?

Díky moc.

7. 9. 2020 10:27:08

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462424

Smazaný účet hvLPwPN09D

(3 hodnocení)

7. 9. 2020 10:33:04

Jop, i email patří mezi tzv. organizační údaje, tedy spadá pod osobní údaje na které GDPR myslí.

7. 9. 2020 10:33:04

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462423

Erik

(6 hodnocení)

7. 9. 2020 10:37:13

To je super, to asi vede na to, že to API akorát zkusím zpoplatnit aby mi to zaplatilo někoho, kdo mi vyřeší GDPR...

A z někoho, kdo nabízí fajn službu zdarma bude kapitalista donucený legislativou. :D achjo

7. 9. 2020 10:37:13

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462422

Smazaný účet hvLPwPN09D

(3 hodnocení)

7. 9. 2020 10:43:11

Možná to vidíš moc černě, GDPR si implementuješ i sám s trochou šikovnosti, nemusíš si na to platit drahé právníky. Ty podklady stáhneš zdarma, budeš správcem osobních údajů a musíš zajistit, aby měli lidi možnost ty údaje vymazat, když na to přijde a upozornit je na to, jaká mají práva v tomhle ohledu. Dál musíš jasně upozornit na to, k čemu ty údaje jsou, jak s nimi pracuješ a jak je chráníš.

Btw tomu zpoplatnění API, minimálně lidem co tahaj nejvíc, stejně neutečeš. Jestli rosteš tak rychle jak říkáš.

7. 9. 2020 10:43:11

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462421

node

(5 hodnocení)

7. 9. 2020 11:08:04

teoreticky to mozes obist tak ze email pouzijes iba pri registracii - posles overovaci email a vtedy sa email uzivatelovi hashne takze pri logine on zada meno a heslo ale obe hodnoty su hashe takze nemusis nic riesit. ak si nepotvrdi email tak ho po 24h zmazes. nevyhoda je ze nemozes potom posielat newsletter. ale heslo mozes stale resetnut v pohode takze prakticky o nic neprides. len hovoris ze ides riesit platby takze tam sa to uz znacne komplikuje a gdpr sa nezbavis.

ak mozes tak proste zakaz zakaznikov z EU, len z CR a mimo EU. zbavis sa neskutocneho mnozstva zataze a komplikacii. prides sice o 500M trh ale mozno na zaciatok nez sa ti to rozbehne to nie je take zle.

7. 9. 2020 11:08:04

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462420

Erik

(6 hodnocení)

7. 9. 2020 11:18:37

Napsal Tomáš Maňhal;1596261
Možná to vidíš moc černě, GDPR si implementuješ i sám s trochou šikovnosti, nemusíš si na to platit drahé právníky. Ty podklady stáhneš zdarma, budeš správcem osobních údajů a musíš zajistit, aby měli lidi možnost ty údaje vymazat, když na to přijde a upozornit je na to, jaká mají práva v tomhle ohledu. Dál musíš jasně upozornit na to, k čemu ty údaje jsou, jak s nimi pracuješ a jak je chráníš.
Btw tomu zpoplatnění API, minimálně lidem co tahaj nejvíc, stejně neutečeš. Jestli rosteš tak rychle jak říkáš.

Už jak píšeš tak to působí jako více práce než bych rád práce a hlavně bez zaplacení někoho budu stále v nejistotě jestli to mám vše skutečně v pořádku.

Jinak k tomu placení, jelikož jsem podobnou službu prakticky nenašel, tak si myslím, že o to spíše není takový zájem aby za to byl někdo ochotný platit. Zadarmo si to lidé vezmou rádi, ale za peníze si myslím že už ne. Ostatně taky bych za to asi taky neplatil. Jsou to data která jsou lidským očím přístupná všude zdarma, a programově je asi nikdo nijak pro vlastní SW nepoužívá.

---------- Příspěvek doplněn 07.09.2020 v 11:20 ----------

Napsal node;1596269
teoreticky to mozes obist tak ze email pouzijes iba pri registracii - posles overovaci email a vtedy sa email uzivatelovi hashne takze pri logine on zada meno a heslo ale obe hodnoty su hashe takze nemusis nic riesit. ak si nepotvrdi email tak ho po 24h zmazes. nevyhoda je ze nemozes potom posielat newsletter. ale heslo mozes stale resetnut v pohode takze prakticky o nic neprides. len hovoris ze ides riesit platby takze tam sa to uz znacne komplikuje a gdpr sa nezbavis.
ak mozes tak proste zakaz zakaznikov z EU, len z CR a mimo EU. zbavis sa neskutocneho mnozstva zataze a komplikacii. prides sice o 500M trh ale mozno na zaciatok nez sa ti to rozbehne to nie je take zle.

Zajímavá myšlenka, nicméně GPDR musím řešit i když je to pouze pro ČR? ne?

7. 9. 2020 11:18:37

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462419

node

(5 hodnocení)

7. 9. 2020 11:21:50

Napsal Ariwenie;1596272
Zajímavá myšlenka, nicméně GPDR musím řešit i když je to pouze pro ČR? ne?

Ano, sorry. Narazal som na MOSS a dane.

Napsal Ariwenie
Jinak k tomu placení, jelikož jsem podobnou službu prakticky nenašel, tak si myslím, že o to spíše není takový zájem aby za to byl někdo ochotný platit. Zadarmo si to lidé vezmou rádi, ale za peníze si myslím že už ne. Ostatně taky bych za to asi taky neplatil. Jsou to data která jsou lidským očím přístupná všude zdarma, a programově je asi nikdo nijak pro vlastní SW nepoužívá.

Tak len nasad nejaky "donation button". Paypal, nejaka online penazenka alebo si sprav integraciu s branou ak chcu ludia pouizt kreditku. Divil by si sa kolko ludi rado dobrovolne zaplati. Hlavne v USA to dost fici. Europa ani Azia moc nie. Cim lahsi proces to bude, tym viac to bude fungovat.

A co to je za api? hod sem odkaz.

7. 9. 2020 11:21:50

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462418

Erik

(6 hodnocení)

7. 9. 2020 11:24:15

Napsal node;1596274
Ano, sorry. Narazal som na MOSS a dane.

Jo tak fakturovat do zahraničí nechci už vůbec :D

7. 9. 2020 11:24:15

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462417

TomasX

(4 hodnocení)

7. 9. 2020 11:38:00

Osobní údaj podle GDPR je cokoliv čím dokážeš daného člověka přímo či nepřímo identifikovat. Pracovní emailová adresa to často je (jméno, příjméní, zaměstnavatel jsou v téhle kombinaci považovány za osobní údaje), naopak přezdívka na gmail to být nemusí. Nemáš to ale jak rozlišit, takže email dopředně musíš považovat za osobní údaj. Nepomůže ani doporučení Noda, že máš email zahashovat a zapomenout, ke zpracování již došlo a stejně tak k evidenci (ikdyž na pár vteřin; krom toho je těžké takový údaj zapomenout, když zůstává v logách, v emailových serverech, jeho odvozenou hodnotu v podobě hashe budeš mít u sebe..).

Nejvhodnější je jako registraci použít třetí stranu (protokol oauth, mojeid atd. - facebook, twitter, github a další), pak emailovou adresu a ani jiné osobní údaje neuvidíš vůbec, jen ti tyhle služby potvrdí identitu s interním lokálním identifikátorem.

7. 9. 2020 11:38:00

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462416

Erik

(6 hodnocení)

7. 9. 2020 11:57:04

Napsal node;1596274
A co to je za api? hod sem odkaz.

Ani mě nenapadlo na někoho cílit, má to i jen český popis. Link v PM.

7. 9. 2020 11:57:04

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462415

skranc

(5 hodnocení)

23. 9. 2020 09:07:27

Ano musíš řešit GDPR, ale není to v Tvém případě nic extra složitého. Sepsal jsem pár týdnů zpět podrobný popis jak vypadá GDPR pro e-shopy a toto bude hodně podobné tak se můžeš kouknout:

https://www.facebook.com/webczech/posts/2771885703087703

23. 9. 2020 09:07:27

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462414

node

(5 hodnocení)

23. 9. 2020 09:19:21

Napsal TomášX;1596280
Nepomůže ani doporučení Noda, že máš email zahashovat a zapomenout, ke zpracování již došlo a stejně tak k evidenci

nemas pravdu, spracovanie a ulozenie su dve naprosto odlisne veci. gdpr je len o uchovavani osobnych udajov a pripadnom poskytovani tretim stranam. spracovat mozes cokolvek, toto nie je cislo platobnej karty kedy na spracovanie musis mat pci dss saq-d, o ulozeni ani nehovorim. keby to bolo ako vravis tak by cryptoshredding nebola najrozsirenejsia technika pre mazanie gdpr dat v modernych systemoch a de facto by bol koncept event sourcingu zabity hned na mieste, co by polozilo slusny pocet nadnarodnych koncernov...

23. 9. 2020 09:19:21

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462413

skranc

(5 hodnocení)

23. 9. 2020 09:47:46

Napsal node;1598213
nemas pravdu, spracovanie a ulozenie su dve naprosto odlisne veci. gdpr je len o uchovavani osobnych udajov a pripadnom poskytovani tretim stranam. spracovat mozes cokolvek, toto nie je cislo platobnej karty kedy na spracovanie musis mat pci dss saq-d, o ulozeni ani nehovorim. keby to bolo ako vravis tak by cryptoshredding nebola najrozsirenejsia technika pre mazanie gdpr dat v modernych systemoch a de facto by bol koncept event sourcingu zabity hned na mieste, co by polozilo slusny pocet nadnarodnych koncernov...

Jen malá technická. Jak následně zjistím (při opětovném přihlášení), že se jedná o určitý už. účet. Pokud se nepletu z adresy se opět vytvoří hash a ten se porovnává s tím co je v dtb. Je to tak?

23. 9. 2020 09:47:46

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462412

TomasX

(4 hodnocení)

23. 9. 2020 11:33:14

Napsal node;1598213
nemas pravdu, spracovanie a ulozenie su dve naprosto odlisne veci. gdpr je len o uchovavani osobnych udajov a pripadnom poskytovani tretim stranam. spracovat mozes cokolvek, toto nie je cislo platobnej karty kedy na spracovanie musis mat pci dss saq-d, o ulozeni ani nehovorim. keby to bolo ako vravis tak by cryptoshredding nebola najrozsirenejsia technika pre mazanie gdpr dat v modernych systemoch a de facto by bol koncept event sourcingu zabity hned na mieste, co by polozilo slusny pocet nadnarodnych koncernov...

GDPR vynucuje, abys jakékoliv osobní údaje, které se dostanou k tobě do systému jasně uvedl v podmínkách spolu s informací co s nimi děláš, jak dlouho (a jestli vůbec) je máš uložené, kdo k nim má přístup. Zároveň jsi povinný interně zpracovat dokumentaci, jaké systémy s takovými údaji pracují, jak se ukládají, kdo k nimi má přístup a tenhle přístup i auditoval.

Už to, že se email jako osobní údaj dostane na tvoje servery aktivuješ povinnost mít podmínky podle GDPR o "Zpracování osobních údajů". Tam klidně můžeš uvést, že údaje neukládáš, že je pouze jednozárově zpracováváš, ale uvést to musíš. Jediná přípustná varianta je dělat hash přímo na klientské straně v prohlížeči, pak ke zpracování technicky nedochází (zatím podle aktuálního výkladu).

Samotné hashování má také svoje specifika a pravidla jak to dělat, aby takový údaj byl opravdu anonymizovaný.

skranc: ano, dojde k výpočtu nového hashe a porovnání s tím v databázi, stejně jako se to dělá s hesly.

23. 9. 2020 11:33:14

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462411

node

(5 hodnocení)

23. 9. 2020 12:41:34

nie som expert ale v GDPR sa pod pojmom spracovanie nerozumie to iste co pri platbach, teda vstup dat do systemu, ale spracovanie je definovane ako sprostredkovanie dat tretej strane, kedy sa tato strana stava spracovatelom dat. a teda nasledne dochadza k uchovaniu. samotny vstup dat do systemu vsak gdpr neosetruje, pokial sa neukladaju a nespracuvaju dalej. ale ako vzdy tu plati ze tieto veci sa neriesia na online forach ale s pravnikmi.

23. 9. 2020 12:41:34

https://webtrh.cz/diskuse/musim-resit-gdpr#reply1462410